Bonjour à tous!
Voilà désolé si je met mon premier post ici, mais bon....
En tout cas, j'aimerais bien que vous me testiez mon site : http://wincode.fr , car j'avoue l'avoir publié un peu rapidement, et j'ai peur d'avoir laisser ouvert de grosses failles.
Merci d'avance!
Preuve: http://wincode.fr/hackbbs.txt
Test de http://wincode.fr
6 posts
• Page 1 of 1
Test de http://wincode.fr
by NEMO6910 » Sun Dec 28, 2008 8:41 pm
- NEMO6910
- Projets
- Posts: 10
- Joined: Sun Dec 28, 2008 8:31 pm
by Sliim » Mon Dec 29, 2008 5:07 pm
Je doute que les variables de sessions soient modifiables. C'est une question très intéressantes je ne me suis jamais vraiment posé la questions encore..
Ma façon de protéger serait autant vulnérable que la tienne, bien que plusieurs test sont effectués :
J'ai une table 'membres' qui contient principalement un 'id', 'login', 'pass', 'lvl'.
les test dans la page php serait :
[code:1:6aef1c5a0a]if(isset($_SESSION["id_mbr"])){
if((isset($_SESSION["lvl_mbr"]))&&($_SESSION["lvl_mbr"]==1)){
//PAGE ADMIN
}
else
echo "Accès refusé";
}
else
echo "Vous devait être connecté !! Accès refusé !";[/code:1:6aef1c5a0a]
Si la valeur de 'lvl' de la table vaut 1 alors c'est un admin. Cette valeur est enregistré dans une variable de session nommé 'lvl_mbr', si celle si est à un alors l'accès est autorisé sinon non. A voir après si elles sont modifiables, je ne pense pas mais bon, on en apprend toujours donc.. on sait jamais :lol: .
Ici même si les variables de sessions sont modifiables, il faut déjà que l'attaquant sache comment fonctionne l'authentification. Dis toi que plus il y a de tests mieux c'est, là je t'es donné une ébauche à toi de l'adapter à ton site :P.
J'espère t'avoir éclairé sur le sujet, je n'est pas de réponse concrète à te donner, il faudrait que j'en sois certain pour cela.
Si tu as des question ..
++
Ma façon de protéger serait autant vulnérable que la tienne, bien que plusieurs test sont effectués :
J'ai une table 'membres' qui contient principalement un 'id', 'login', 'pass', 'lvl'.
les test dans la page php serait :
[code:1:6aef1c5a0a]if(isset($_SESSION["id_mbr"])){
if((isset($_SESSION["lvl_mbr"]))&&($_SESSION["lvl_mbr"]==1)){
//PAGE ADMIN
}
else
echo "Accès refusé";
}
else
echo "Vous devait être connecté !! Accès refusé !";[/code:1:6aef1c5a0a]
Si la valeur de 'lvl' de la table vaut 1 alors c'est un admin. Cette valeur est enregistré dans une variable de session nommé 'lvl_mbr', si celle si est à un alors l'accès est autorisé sinon non. A voir après si elles sont modifiables, je ne pense pas mais bon, on en apprend toujours donc.. on sait jamais :lol: .
Ici même si les variables de sessions sont modifiables, il faut déjà que l'attaquant sache comment fonctionne l'authentification. Dis toi que plus il y a de tests mieux c'est, là je t'es donné une ébauche à toi de l'adapter à ton site :P.
J'espère t'avoir éclairé sur le sujet, je n'est pas de réponse concrète à te donner, il faudrait que j'en sois certain pour cela.
Si tu as des question ..
++
-
Sliim - Site Admin
- Posts: 1177
- Joined: Fri May 16, 2008 12:53 pm
6 posts
• Page 1 of 1
Return to Faites tester vos sites <b>DE TEST</b>
Who is online
Users browsing this forum: No registered users and 1 guest